KPN Security, een merk van BTG-partner KPN, deelt in real-time data over ransomware-besmettingen met het Team High Tech Crime van de Nederlandse politie en Amerikaanse FBI. Onder meer over de beruchte ransomware REvil is door het beveiligingsbedrijf informatie gedeeld.
“Samen hebben we al meerdere grote aanvallen in de kiem gesmoord”, licht Jordi Scharloo, securityonderzoeker bij KPN Security, toe in een blogpost. Het bedrijf doet voortdurend onderzoek naar geavanceerde malware. Onder meer om klanten optimaal te kunnen beschermen. Scharloo: “We zien het ook als onze maatschappelijke verantwoordelijkheid om een bijdrage te leveren aan de bestrijding van cybercriminaliteit. KPN Security heeft alleen geen opsporingsbevoegdheid. Wel kunnen we opsporingsdiensten ondersteunen met onze expertise en technologie.”
Samenwerking met FBI
De securityonderzoeker wijst onder meer op de samenwerking met de FBI, waarvoor het fundament in 2019 is gelegd. KPN Security bestudeerde toen de ransowmare REvil, waarbij gijzelsoftware als dienst werd aangeboden. De REvil-bende was de afgelopen jaren verantwoordelijk voor diverse omvangrijke cyberincidenten. Denk hierbij aan de aanval op het Amerikaanse softwarebedrijf Kaseya in juli 2021. Hierbij wisten aanvallers via software van Kaseya diverse klanten binnen te dringen. Andere voorbeelden zijn de geruchtmakende cyberaanvallen op de Braziliaanse vleesverwerker JBS en het Amerikaanse oliepijpleidingbedrijf Colonial Pipeline.
KPN ontdekte tijdens het analyseren van de REvil-ransomware dat de aanvallers gebruik maakte van een lange lijst met IP-adressen. Een deel hiervan was niet geregistreerd. KPN besloot een aantal van deze adressen zelf te registreren. Zo kon het bedrijf informatie verzamelen. Met behulp van een geautomatiseerd verrijkingsproces zijn de IP-adressen verrijkt, zodat duidelijk werd om welk bedrijf het gaat.
Dweilen met de kraan open
Deze zijn in eerste instantie door KPN Security zelf op de hoogte gesteld. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI”, schrijft Scharloo.
Dit leidde tot een structurele samenwerking. KPN Security deelt nu in relatie data over REvil-besmettingen met het Team High Tech Crime en met buitenlandse opsporingsdiensten. Dit helpt de diensten een beter beeld te krijgen van de omvang van het probleem.
Meer informatie is hier beschikbaar.